首先我得说，对于吃瓜而言发布这篇文章的时间比较过气。但是笔者向来笃信的是没有调查就没有发言权，本公众号所有原创内容都是笔者一个字一个字写的，写得慢很正常嘛^ ^。

首先，我们都知道xz后门是由github用户Jia Tan

⛓https://github.com/JiaT75

提交的。所以本文将会围绕这个账号进行分析。

本文的主要参考文章为Rhea Karty和Simon Henniger发表的文章《XZ Backdoor: Times, damned times, and scams》

⛓https://rheaeve.substack.com/p/xz-backdoor-times-damned-times-and

以及下面的评论。

1 Rhea和Simon文章的转述及分析

有意详细研究文章的读者可以直接去看原文，在这里我先概括一下文章的主要内容：文章从github提交时间点出发，指出了Jia Tan实际上致力于伪装成亚洲人，特别是中国人（不过原作者可能对国人名字不了解，实际上中国人不会取这样的名字。贾坦？贾谭？很怪）：

I think that is what Jia Tan did. Based on his name, he wanted people to believe he is Asian — specifically Chinese— and the vast majority of his commits (440) appear to have a UTC+08 time stamp.

上文提到，Jia Tan的提交时间大多数在UTC+8（对就是我们的时区东八区），原文作者还提供了一张此时区的地区图，我这里由于微信会审核地图就直接放链接了：

https://substackcdn.com/image/fetch/f_auto,q_auto:good,fl_progressive:steep/https%3A%2F%2Fsubstack-post-media.s3.amazonaws.com%2Fpublic%2Fimages%2F7beda52c-beec-4d60-983f-13d7f4061d57_1456x779.webp

以防各位看不清楚，我列举一下使用东八区的主要地区所在国家：俄罗斯、蒙古、中国、菲律宾、新加坡、马来西亚、澳大利亚。

典型俄罗斯人名很明显不长这样，要甩锅给谁不言自明啦。

好在作者比较给力，力证Jia Tan不是东八区人，而是东二/三区（包括东欧、以色列等）：

However, I believe that he is actually from somewhere in the UTC+02 (winter)/UTC+03 (DST) timezone, which includes Eastern Europe (EET), but also Israel (IST), and some others.

东二/三区的主要地区所在国家为：俄罗斯、乌克兰、白俄罗斯、以色列、土耳其、叙利亚、南非，总之包括了大半个东欧和中东地区。笔者找了维基的地图以供读者查询，还是像上文说的一样请看链接：

https://zh.wikipedia.org/wiki/%E6%97%B6%E5%8C%BA#/media/File:World_Time_Zones_Map.png

至于为什么这么认为呢？作者说，你这提交时间，照UTC+2就是朝九晚六的社畜，按UTC+8就是夜行动物啊（笑）。

We see him usually working 9 am to 6 pm (adjusted to EET). This makes much more sense than someone working at midnight and 1 am on a Tuesday night (non-adjusted, using UTC+08).

而且有些时候，我们的投毒者还会忘记修改时区（可以通过修改本地时区伪造github提交时区）。有3次提交在UTC+2，6次在UTC+3，UTC+2符合东令时而UTC+3符合夏令时（有些国家在不同季节的时区不一样，比如大英帝国）。

Except sometimes, he forgot to change his time zone. There are 3 commits and 6 commits, respectively, with UTC+02 and UTC+03. The UTC+02 time zones match perfectly with the winter time (February and November), while the UTC+03 matches with summer (Jun, Jul, and early October). This matches perfectly with the daylight savings time switchover that happens in Eastern Europe; we see a switch to +0200 in the winter (past the last weekend of October) and +0300 in the summer (past the last Sunday in March). Incidentally, this seems to be the same time zone as Lasse Collin and Hans Jansen.

除此之外，作者还指出，Jia Tan的假期时间也更像东欧的而非中国的（作者下面说自己不了解中国假期所以不确定，没关系，作为中国人我还是知道的）：

There is also one more vital clue to which country he worked in: Holidays. We notice that Jia's work schedule and holidays seem to align much better with an Eastern European than a Chinese person.

最后，作者对Jia Tan的提交时间进行画像，得出他很有可能生活在UTC+2/3时区且通常在工作日进行提交：

To further investigate, we can try to see if he worked on weekends or weekdays: was this a hobbyist or was he paid to do this? The most common working days for Jia were Tue (86), Wed (85), Thu (89), and Fri (79).

Again, none of this is rock-solid evidence for anything — but we thought this was an interesting enough observation to post. Based on this, “Jia” most likely worked regular office hours and was based somewhere in UTC+02/03 (e.g. EET).

这个结论还是挺有意思的（比如说，他这个行为是不是受雇于人而并非个人的一时兴起？），起码我不会在工作日给其他项目贡献大量代码，虽然本公众号也是工作日更新，但那是因为工作日看的人多呀^ ^。

2 对于Jia Tan所在国家的讨论

原文下方的评论区里有比较详细的讨论。如同原文作者说他们不了解中国假期一样，我也不了解东欧假期，所以将就看看。

Souly Toode说按照21年假日时间分析Jia Tan最有可能来自白俄罗斯或乌克兰（最符合刻板印象的一集，中义词）：

Burner从这些年俄罗斯公司大举迁移到塞浦路斯的角度解释时区的变化（也就是说还是认为和俄罗斯有关）：

Yura说俄罗斯2011年就不切时区了，12月25也不过节，更像是乌克兰、爱沙尼亚等国：

这里，应该是因为节日时间（信仰原因，圣诞节可是一个宗教节日）中东地区全体出局？

说到这里我才注意到，现在世界上两大战场都位于这两个时区。对战壕中的平民们而言，这是否是另一种意义上的千里与君同......笔者人微言轻，只能希望和平早日到来，即使这是所有人都知道不可能的事情。

3 Jia Tan社交媒体帐号追踪

这里是笔者的独家内容（喜欢吃瓜的关注我不会吃亏的，姐们每次那叫一个抛头颅洒热血啊^ ^）。之前笔者怀疑Jia Tan可能是受雇于人专业搞破坏的，但在调查之后又推翻了这个想法.

3.1 X@JiaTan1337

首先我搜了下Jia Tan的头像，发现了一个X帐号：

一开始我认为这是事件发生后的stalker账户，但并非如此。这个账户的用户名就是JiaTan1337且在2月就已经加入推特：

这个时间点刚好卡在出事之前（Jia Tan的真正投毒commit在3/9提交，晚了一个月），但是从各类分析文章中我们可以看出Jia Tan本人很早就在为投毒做铺垫。也就是说投毒的念头早已有之，遗臭万年是肯定的，但他却选择在投毒之前一个月开通了自己的社交媒体帐号？说这两者之间完全不相关是不可能的。

这个时间点刚好能证明自己就是本尊，像是在为某些行为做准备。比如，社交媒体喊话？

也许Jia Tan一开始想要在抓一堆鸡之后说点什么，但出现了一些意料之外的事情促使他打消这个念头。不过据历史回复看，这个账号起码在六天之前还在用（账号中所有的公开内容都发生于六天前）：

我还看见有人说Jia Tan是"African-Korean woman"，我没有看懂这句话的前因后果，但我觉得并非如此。

首先Handsome是一个用于形容男性外貌的词（见Jia Tan的X个人签名），其次African-Korean这个词是博主在“最受欢迎的被歧视群体库”里随机挑的两个词吗？一点依据也没有的族裔判定？这也太莫名其妙了。

3.2 youtube@JiaTan1337

按图索骥地搜到了他的油管帐号。首页只有一个播放列表，里面全是中文歌（一首英文的都没），还是中文标题图，大哥你好歹取个名叫张伟呢- -。

今天更新不会是我想的那个今天更新吧......笔者没怎么用过油管还不知道，希望哪位读者给我解个惑。油管这个账号的创建时间更早，是17年：

3.3 一些其他的推测

看了这个人的主要发言，英文输入法的痕迹比较明显（比如大小写）。个人感觉X上打字都很随意，非英语母语的人不会这么拗着大小写和标点符号不放。

油管上的播放列表长得实在太可疑，也太刻意。比如说里面的歌天南海北，而且很多都不太常见，但MV又有一定的播放量。笔者平常不听中文歌，但有很多热爱唱歌的同事，流行歌我都听他们唱过了，比如将军令布拉格广场啥的。在进行这篇文章的写作时，我也问了很多网友认识这个歌单里的那些歌，而她们也只认识稻香和明天会更好等寥寥两三首。诚如我朋友所言：如果喜欢稻香很难不喜欢周杰伦的其他歌吧？

后面我又怀疑是不是某对面的人士，感觉也不像，歌手大部分是大陆的。起码这个人肉身是不在中国的（不然那个听歌爱好真可谓是小众之王），那也印证了上文中Rhea和Simon推定的“Jia Tan不在东八区”。

至于我们事件的主角究竟是男是女、是何种族、是何国籍，这就交给看了这篇文章的读者们来判断。毕竟我的证据也不够充分，再怎么说也不过是一家之言。

再次祝大家吃瓜愉快。如果喜欢我的文章风格，可以关注这个公众号，技术文章、吃瓜报告、MEME我都会发。如果认可我的文章质量，请点击在看和赞，多多转发，谢谢。

原文始发于微信公众号（重生之成为赛博女保安）：对于xz投毒事件始作俑者身份的分析